Adquisición de memoria RAM para Mac

| Última modificación: 19 de abril de 2024 | Tiempo de Lectura: 3 minutos

Algunos de nuestros reconocimientos:

Premios KeepCoding

En artículos anteriores hemos visto cómo hacer adquisición de memoria RAM en Windows, adquisición de memoria RAM en Linux y adquisición remota de memoria RAM. En este post, nos centraremos en aprender a hacer adquisición de memoria RAM para Mac, un sistema operativo de la marca Apple (macOS).

Mac de Apple

El dispositivo Apple es conocido por su diseño elegante, su facilidad de uso y su capacidad para realizar tareas de edición de vídeo, fotografía y diseño gráfico. Los ordenadores con sistemas Mac también son populares entre los desarrolladores de software, especialmente para la creación de aplicaciones para dispositivos móviles y otros sistemas operativos.

Adquisición de memoria RAM para Mac

¿Qué necesitamos para hacer la adquisición de memoria RAM para Mac?

Son varias cosas las que tendremos que hacer y hay varios pasos a seguir para hacer la adquisición de memoria RAM para Mac. Lo primero es descargar el software con el que realizaremos la adquisición. El software es OsXpmem y se encuentra disponible en GitHub.

OsXpmem

OsXpmem es una herramienta diseñada para sistemas operativos macOS, que permite capturar una imagen de memoria en vivo del sistema. Esta imagen de memoria puede utilizarse para realizar análisis forenses o para detectar y solucionar problemas de seguridad en el sistema operativo.

Este programa utiliza técnicas de kernel para leer el contenido de la memoria física y crear una imagen de memoria en vivo. La imagen de memoria capturada puede analizarse en una estación de trabajo forense para buscar evidencias de actividades maliciosas o para identificar problemas de seguridad. La herramienta se ejecuta en modo kernel y requiere permisos de root para su uso. No obstante, hay que ser cuidadosos, porque su uso puede ser invasivo y alterar el estado del sistema, lo que podría poner en jaque su integridad o causar daños en él.

Paso a paso para hacer la adquisición de memoria RAM para Mac

Para hacer la adquisición de memoria RAM para Mac debemos tener en cuenta los siguientes pasos:

  1. Hay que descargar la herramienta OsXpmem.
  2. Posteriormente, es necesario descomprimir la carpeta.
  3. Acto seguido, le damos permisos a la herramienta: sudo chown -R root : wheel osxpmem.app/
  4. Después de los permisos, debemos cargar el driver: sudo kextload osxpmem.app /MacPmem.kext
  5. Por último, lanzamos el comando para comenzar con la adquisición de memoria RAM para Mac: ./osxpmem /osxpmem -format raw -o destino.dump
    Aquí, destino.dump es la ruta y el nombre del fichero que queremos generar.

El comando sudo chown -R root : wheel osxpmem.app/

🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴

Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada

👉 Prueba gratis el Bootcamp en Ciberseguridad por una semana

El comando sudo chown -R root : wheel osxpmem.app/ cambia la propiedad del directorio “osxpmem.app” y todo su contenido al usuario root y al grupo wheel. Aquí hay una explicación del mismo:

  • sudo se usa para ejecutar el comando con privilegios de superusuario, lo que le permite al usuario realizar acciones que requieren acceso administrativo.
  • chown significa “cambiar propietario” y se utiliza para cambiar la propiedad de archivos y directorios.
  • -R se utiliza para realizar el cambio de propiedad de forma recursiva, es decir, para todos los archivos y directorios dentro del directorio “osxpmem.app”.
  • root especifica el nuevo propietario de los archivos y directorios. En este caso, el usuario root será el propietario.
  • wheel especifica el nuevo propietario del grupo de los archivos y directorios. El grupo wheel es un grupo privilegiado en sistemas macOS que tiene permiso para realizar ciertas tareas administrativas.
  • osxpmem.app/ es la ruta al directorio cuya propiedad se está cambiando.

El comando sudo kextload osxpmem.app /MacPmem.kext

Este es un comando de la terminal que se emplea para cargar un módulo del kernel en sistemas operativos macOS. En conjunto, el comando carga el archivo kext “MacPmem.kext” desde el directorio “osxpmem.app” en el sistema operativo macOS.

  • kextload es un comando utilizado para cargar kexts en el sistema operativo macOS.
  • osxpmem.app es la ruta al directorio que contiene el archivo kext que se va a cargar.
  • /MacPmem.kext es la ruta al archivo kext que se va a cargar.

¿Cómo seguir aprendiendo sobre ciberseguridad?

Ya hemos visto cómo hacer adquisición de memoria RAM para Mac, por medio de la herramienta osxpmem, que puede capturar la imagen de memoria del sistema, en vivo. Si quieres seguir formándote en las numerosas disciplinas de la seguridad informática, no te pierdas nuestro Ciberseguridad Full Stack Bootcamp, la formación intensiva con la que conseguirás, en muy pocos meses, transformarte en un gran profesional IT. ¡Pide ahora más información e impulsa ya tu futuro profesional!

Carlos Cilleruelo

CEO and co-founder of Byron Labs & Coordinador del Bootcamp en Ciberseguridad.

Posts más leídos

¡CONVOCATORIA ABIERTA!

Ciberseguridad

Full Stack Bootcamp

Clases en Directo | Profesores en Activo | Temario 100% actualizado